¿Qué debo preguntar a un asesor de seguridad para ver si son legítimos o no?
Estoy buscando contratar a alguien para que realice una evaluación, pero me gustaría asegurarme de que alguien tenga reputación primero.
Solicitar referencias es un comienzo razonable.
Otro indicador crudo es su visibilidad y su trayectoria en conferencias bien consideradas. Si son oradores en Blackhat, RSA Security conference, WOOT, etc., a menudo es una buena señal. (Pero la falta de este tipo de visibilidad no significa necesariamente que no estén calificados. En el mejor de los casos, este es un indicador muy burdo).
También puede consultar su historial de informes de vulnerabilidad, informes técnicos, etc.
No le prestaría demasiada atención a las certificaciones. Si su credencial principal o única es una certificación CISSP o similar, es probable que obtenga una persona de bajo nivel. El valor de una certificación dependerá de la certificación en particular y del tipo de trabajo que esté buscando que haga el consultor.
Para obtener más información sobre qué leer en las certificaciones y su reputación, consulte los siguientes subprocesos: Certificaciones profesionales para seguridad de TI ; Certificaciones de seguridad web ; Certificación de pentester internacional ; ¿Cuáles son los cursos básicos de certificación para principiantes? ; ¿Qué tan útil es CISSP para un graduado reciente? ; CEH o GIAC: ¿cuál debo seguir? ; ¿la preparación para CCNA agregaría "significativamente" a mi conocimiento como evaluador de penetración? .
Invente un escenario similar al en el que quiere que trabajen y haga que le expliquen cómo lo abordarán. Desearía evaluar su capacidad para comprender las necesidades de su empresa, así como su comprensión técnica. El factor clave sería si hacen las preguntas correctas y le dan las respuestas correctas.
Por ejemplo, es posible que desee que alguien evalúe su infraestructura de comercio electrónico, por lo que su escenario podría comenzar con la pregunta:
Un buen candidato inmediatamente comenzaría a preguntar sobre los datos involucrados y el nivel de riesgo que está dispuesto a tolerar. Un mal candidato se haría inmediatamente proscriptivo.
Si responden a su satisfacción o extraen la información de usted, puede ampliarla a:
... etc. Idealmente, en este escenario, tendría un candidato que analiza problemas más amplios que solo TI: las políticas, los procedimientos, la capacitación del personal, las copias de seguridad y la seguridad de las copias de seguridad desempeñan un papel importante, al igual que los cortafuegos e IPS. .
Si no tiene a nadie disponible para desafiar su experiencia técnica, diría que vaya a la ruta de referencias del cliente. Pida referencias, preferiblemente de clientes donde realizaron trabajos similares.
Referencias, referencias y más referencias. De empresas que están cerca de su tamaño. Debe llamar a la referencia y preguntar cómo le fue al consultor. Pregunte si leyeron sus políticas y procedimientos existentes e hicieron sugerencias para mejoras. Como si sugirieran las mejores prácticas de la industria. El consultor que tiene un rol como orador en una conferencia no tiene en cuenta en absoluto si puede hacer el trabajo. Si han presentado presentaciones en conferencias o libros escritos, siempre debe solicitar su libro o diapositivas o una grabación de la charla y revisarla para ver si hacen referencia a clientes anteriores. Lo último que desea es que hablen de su compañía (incluso de forma anónima) en la próxima conferencia.
Lea otras preguntas en las etiquetas people-management outsourcing